[LUGOS] dva linka, upam da ena resitev, nic kaj dosti pameti :)

Jure Koren jure at aufbix.org
Sun May 26 12:24:03 CEST 2002 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Viestissä Sunnuntai 26 Toukokuu 2002 01:09, rok kirjoitti:
> Nekje majo zdaj staln link do arnesa z 32 ipji (maksa /27). Za link skrbi
> en lustn ciscotov router. Na ta net so povezani wksji, pa tud kaksn
> servercek se najde. Zdej so se pa ti ludje, ki so tam kao sefi odlocl
> da bi blo ql ce bi vsej stvari se dodal en adsl link. tu se pa stvari
> zacnejo zapletat (vsaj zame). Poleg tega prekrasnega adsl paketa nasega
> vrlega nacionalenga ponudnika taksnih in drugacnih storitev nameravajo
> opravit se nakup ene 50 cukov vrednega zyxlovga routerja zywall 1,ki med
> drugim podpira tudi pppoe. Link bi pa radi nastimal takole:
> obdrzal bi radi zdejsnje ipje (193.2.x.y), default gw pa bi iz ciscota
> prestavl na zywall (nat), s tem, da bi se vse zadeve, ki po defaultu
> sodijo na arnes, tja tudi sle direkt, ne pa preko adslja. Jst sm pa zacel
> razmisljat o malo 'cheaper' varianti. Tisti linux box, ki domuje tam, bi
> usposobu kot vmesni clen namesto zywalla. V dokaz, da mislim resno sem
> narisal se to lepo slikico (ki jo lahko komentirate po mili volji ;)
>
>          <212.?>      +-------+
> <siol>-adsl-modem-----+       |
>
>                       | linux |
>
> <arnes>-isdn-router-+-+  box  |
>      <193.2.x.y/27> | |       |
>
>                     | +-------+
>
>                     +-+----+---+----+...
>
>                     wks1 wks2 wks3 wks4

Najmanj kar je moras dodat se eno mrezno kartico v linux box,
sicer te bo bolela glava. Na tisto mrezno kartico prikljucis
tisti lan z wks* masinami.

> - ipji (na wksjih) bi ostali taksni, kot da adslja sploh nebi bilo;
> - linux box bi poskrbel za default route (adsl);
> - z iptables pa bi se vrsila pretvorba, da bi paketki nazaj prihajali po
>   adslu in ne isdnu;
> - vsi paketi, namenjeni na arnesov network bi ubrali pot preko isdna
> - na dhcpdju na linux boxu bi spremenu default route za wksje iz isdn
>   routerja na ip od linuxa.

Hja, ce je linux vmes ti tega ne bi bilo treba, ker bi itak vsi paketki
sli ven skozi linux box.

> Tukaj me pa zanima, ce je stvar izvrsljiva tako, kot sem si jo
> predstavljal. Sem morda na kaj pozabil? Slisati zelim vse kritike :)

Stalni link do arnesa imas skozi isdn? To je 24/7 link? Uh, expensive :)
Ne vem ce se ti potem splaca metat denar skozi okno se za adsl, ker ne
bos nic bistvenega pridobil, razen ce ti mocno primanjkuje pasovne sirine,
in bi dsl link izboljsal situacijo. Ker je dsl dinamicen, serverji seveda
odpadejo, razen v primeru...

Jaz ti v tem primeru priporocam takole resitev:
Za streznike bos routal skozi arnesov link prave ipje, za delovne postaje
pa bos delal masquerading (adslji imajo povrhu vsega se zlobno dinamicne
ipje). Masquerading z 193.2.x.x/27 na trenuten adsljev ip je pa itak
trivialna rec.

V osnovi nekaj takega, recimo da so strezniki 193.2.x.3, 193.2.x.5 in
193.2.x.22, eth0 gleda v intranet, eth1 na arnes in eth2 na dsl:

iptables -N servers		# tukaj bos locil streznike od wksjev
iptables -N servers-filter	# tukaj bos delal firewalling za streznike
iptables -N wks-filter		# tukaj bos delal firewalling za ostale

iptables -t mangle -A PREROUTING -i eth0 -j servers
for ip in 3 5 22; do
	iptables -A servers -s 193.2.x.$ip -j MARK --set-mark 0x1
done
iptables -A servers -j MARK --set-mark 0x2 # to so workstationi

# tukaj napolnis servers-filter s cimerkoli pac hoces omejit
# serverje, na koncu servers-filter naredis ACCEPT in je
# recimo da hoces mail ki gre s serverjev poskenirat za viruse
# na linux firewallu (seveda potem rabis tudi skonfiguriran MTA)
iptables -A servers-filter -p tcp --dport 25 -j REDIRECT

# potem dodas filtre v wks, spet primer za smtp
iptables -A wks-filter -p tcp --dport 25 -j REDIRECT

# potem iz FORWARD posiljas paketke v ustrezen filter
iptables -A FORWARD -m mark --mark 0x1 -j servers-filter
iptables -A FORWARD -m mark --mark 0x2 -j wks-filter

# routerju poves da morajo paketki oznaceni z 0x1 odhajat
# skozi arnesov router, ostali pa na default route skozi
# masquerading
ip rule add from 193.2.x.x/32 fwmark 0x1 table 100
ip route add default via <ip-od-arnesovga-routerja> dev eth1 table 100
ip route add default dev ppp0
ip route 

# na koncu das masquerading za vse paketke ki so od
# workstationov
iptables -t nat -A POSTROUTING -m mark --mark 0x2 -j MASQUERADE\
		--to-ports 16384-32767

Se opozorilo: napisano iz glave. Ce bos tole prepisal v router
najverjetneje ne bo nic (0) delalo.

Za izvedbo potrebujes kernel 2.4, iptables 1.2, iproute 2 iz leta 2001
in precej potrpezljivosti.

S tako postavitvijo bodo serverji zase imeli isdn, workstationi pa
adsl za surfanje etc... Potem lahko poljubno dolocas kdo je kdo in
skozi kateri link gre promet.

- -- 
Jure Koren, n.i.
jure at aufbix.org, GPG pubkey @ http://aufbix.org/~i/public.key
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE88LfU9iFCvmuhrCIRAmPIAJ4kTDv5yrVX+t9kqunIp3Lm407C1gCcDAIE
ABdiL45OfEWeBJO1H45A/ZI=
=+ZoP
-----END PGP SIGNATURE-----

More information about the lugos-list mailing list